CN114051244A - 一种终端侧设备与网络侧设备之间的认证方法、系统 - Google Patents

一种终端侧设备与网络侧设备之间的认证方法、系统 Download PDF

Info

Publication number
CN114051244A
CN114051244A CN202111324852.2A CN202111324852A CN114051244A CN 114051244 A CN114051244 A CN 114051244A CN 202111324852 A CN202111324852 A CN 202111324852A CN 114051244 A CN114051244 A CN 114051244A
Authority
CN
China
Prior art keywords
protocol type
authentication protocol
authentication
equipment
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111324852.2A
Other languages
English (en)
Inventor
潘龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Ezviz Software Co Ltd
Original Assignee
Hangzhou Ezviz Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Ezviz Software Co Ltd filed Critical Hangzhou Ezviz Software Co Ltd
Priority to CN202111324852.2A priority Critical patent/CN114051244A/zh
Publication of CN114051244A publication Critical patent/CN114051244A/zh
Priority to PCT/CN2022/123503 priority patent/WO2023082894A1/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请公开了一种终端侧设备与网络侧设备之间的认证方法,该方法包括,在终端侧设备及网络侧设备双方设备中任一本方设备侧,本方设备与对方设备进行认证协议类型交互,以确定双方设备所支持的认证协议类型,其中,所述认证协议类型对应有认证方式。本申请避免了双方设备在软硬件资源迭代过程中对认证方式的相互依赖的问题,并且,既提供丰富的认证协议类型协商资源,又有利于加速认证协议类型的协商速度,提高认证效率。

Description

一种终端侧设备与网络侧设备之间的认证方法、系统
技术领域
本发明涉及无线通信领域,特别地,涉及一种终端侧设备与网络侧设备之间的认证方法。
背景技术
目前,终端侧设备与网络侧设备之间进行认证的方法通常通过预埋的公私钥以及固定的某一算法的方式完成认证。例如,在物联网系统中,物联网设备、平台分别预先存储有公私钥和同一算法,利用该算法和公私钥进行认证。
当终端侧设备或网络侧设备升级后,由于升级后的设备其认证算法通常也会升级,这样,就与未升级的设备的认证算法不再是同一算法,导致升级后的设备和未升级的设备之间无法进行认证。
发明内容
本发明提供了一种终端侧设备与网络侧设备之间的认证方法,以避免终端侧设备和/或网络侧设备进行认证时相互依赖。
本发明提供的一种终端侧设备与网络侧设备之间的认证方法,该方法包括,在终端侧设备及网络侧设备双方设备中任一本方设备侧,
本方设备与对方设备进行认证协议类型交互,以确定双方设备所支持的认证协议类型,其中,所述认证协议类型对应有认证方式;
本方设备根据所确定的认证协议类型对应的认证方式,进行双方设备之间的认证,并使得对方设备根据所确定的认证协议类型对应的认证方式,进行双方设备之间的认证。
较佳地,所述本方设备与对方设备进行认证协议类型交互,包括,
双方设备交互任一方设备默认支持的第一认证协议类型、以及任一方设备不支持第一认证协议类型的情形下从认证协议类型组中选取的第二认证协议类型,
双方设备交互从认证协议类型组中选取的第二认证协议类型;
其中,认证协议类型组包括,至少一个以上认证协议类型,每个认证协议类型分别对应有认证方式。
较佳地,所述第二认证协议类型为:认证协议类型组中具有最高优先级中的认证协议类型,所述认证协议类型组为终端侧设备认证协议类型组与网络侧设备认证协议类型组的交集;
所述双方设备交互任一方设备默认支持的第一认证协议类型、以及任一方设备不支持第一认证协议类型的情形下从认证协议类型组中选取的第二认证协议类型,包括,
所述本方设备向对方设备发送任一方设备默认支持的第一认证协议类型、以及认证协议类型组,使得对方设备在不支持第一认证协议类型的情形下从认证协议类型组中选取的第二认证协议类型,并将其所采用的认证协议类型发送至本方设备。
较佳地,所述双方设备交互从认证协议类型组中选取的第二认证协议类型,包括,
所述本方设备向对方设备发送认证协议类型组,使得对方设备从认证协议类型组中选取第二认证协议类型,发送至本方设备,
所述本方设备根据所确定的认证协议类型对应的认证方式,进行双方设备之间的认证,并使得对方设备根据所确定的认证协议类型对应的认证方式,进行双方设备之间的认证,包括,
双方设备分别利用第二认证协议类型对应的认证方式进行认证。
较佳地,所述双方设备交互从认证协议类型组中选取的第二认证协议类型,包括,
所述本方设备向对方设备发送认证协议类型组,使得对方设备从认证协议类型组中选取第二认证协议类型,发送至本方设备,
本方设备接收来自对方设备的第二认证协议类型,判断是否支持第二认证协议类型,如果不支持,则通知对方设备重新选取,或者,从认证协议类型组选取本方设备所支持的认证协议类型发送至对方设备,使得对方设备从所支持的认证协议类型中选取该对方设备所支持的认证协议类型,并发送至本方设备。
较佳地,所述认证方式包括,公私钥对生成方式、总密钥生成方式、共享密钥生成方式、加解密方式、摘要生成方式之一或其任意组合,
所述第二认证协议类型为根据安全等级所选取的最优认证协议类型;
所述双方设备之间的认证,包括:
本方设备被对方设备进行认证的第一认证,以及
本方设备对对方设备进行认证的第二认证。
较佳地,所述本方设备被对方设备进行认证的第一认证,包括:
在本方设备侧,
根据认证协议类型对应的公私钥对生成方式,生成本方设备的公私钥对,
根据认证协议类型对应的共享密钥生成方式,生成本方设备的共享密钥,
根据认证协议类型对应的加解密方式,使用共享密钥对公钥进行加密,得到加密后的公钥,
将本方设备的第一设备标识、设备验证码以及加密后的公钥发送给对方设备,使得对方设备:
根据认证协议类型对应的共享密钥生成方式,使用第一设备标识以及设备验证码,生成该对方设备的共享密钥,
根据认证协议类型对应的加解密方式,使用该对方设备的共享密钥对本方设备的加密后的公钥进行解密,得到本方设备的公钥,
根据认证协议类型对应的公私钥对生成方式,使用该对方设备的私钥和本方设备的公钥,生成对方设备的总密钥,
根据认证协议类型对应的加解密方式,使用该对方设备的总密钥对该对方设备的公钥进行加密,得到该对方设备的加密后的公钥。
较佳地,所述本方设备对对方设备进行认证的第二认证,包括,
本方设备接收来自对方设备发送的该对方设备的加密后的公钥,
根据认证协议类型对应的加解密方式,使用本方设备的共享密钥,对该对方设备的加密后的公钥进行解密,得到该对方设备的公钥,
根据认证协议类型对应的公私钥对生成方式,使用本方设备的私钥以及对方设备的公钥,生成本方设备的总密钥,
根据认证协议类型对应的摘要生成方式,使用本方设备的总密钥对第一设备标识进行摘要生成,得到第一结果,
将第一结果发送至对方设备,使得对方设备:
根据认证协议类型对应的摘要生成方式,使用该对方设备的总密钥对第一设备标识进行摘要生成,得到第二结果,
校验第一结果和第二结果,在校验通过时,生成会话密钥和第二设备标识,
根据认证协议类型对应的加解密方式,使用该对方设备的总密钥对会话密钥和第二设备标识进行加密,得到加密后的会话密钥和第二设备标识,
将第二结果、以及加密后的会话密钥和第二设备标识发送至本方设备;
本方设备接收来自对方设备的第二结果、以及加密后的会话密钥和第二设备标识,
根据认证协议类型对应的摘要生成方式,使用本方设备的总密钥,对第一设备标识进行摘要生成,得到第三结果,
校验第二结果和第三结果,在校验通过时,根据认证协议类型对应的加解密方式,使用本方设备的总密钥对加密后的会话密钥和第二设备标识进行解密。
本发明还提供一种终端侧设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器被配置执行实现任一所述终端侧设备与网络侧设备之间的认证方法的步骤。
本发明又提供一种网络侧设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器被配置执行实现任一所述终端侧设备与网络侧设备之间的认证方法的步骤。
本发明再提供一种物联网系统,包括上述终端侧设备,以及上述网络侧设备。
本发明提供的一种终端侧设备与网络侧设备之间的认证方法,通过双方设备进行认证协议类型交互,使得双方通过协商能够找到至少一个认证协议类型,从而使得双方按照所协商的认证协议类型对应的认证方式进行认证,避免了双方设备在软硬件资源迭代过程中对认证方式的相互依赖的问题,进一步地,通过交互设备默认支持的第一认证协议类型、以及任一方设备不支持第一认证协议类型的情形下从认证协议类型组中选取的第二认证协议类型,或者,通过交互从认证协议类型组中选取的第二认证协议类型,既提供丰富的认证协议类型协商资源,又有利于加速认证协议类型的协商速度,提高认证效率。
附图说明
图1为本申请实施例终端侧设备与网络侧设备进行认证的一种流程示意图。
图2a和2b为终端侧设备与网络侧设备之间进行认证的一种流程示意图。
图3a和3b为终端侧设备与网络侧设备协商不一致时的一种流程示意图。
图4为本申请实施例二终端侧设备与网络侧设备之间进行认证的一种流程示意图。
图5为本申请实施例三终端侧设备与网络侧设备之间进行认证的一种流程示意图。
图6为本申请实施例三终端侧设备与网络侧设备之间进行认证的另一种流程示意图。
图7为本申请实施例四终端侧设备与网络侧设备之间进行认证的一种流程示意图。
图8为本申请实施例四终端侧设备与网络侧设备之间进行认证的另一种流程示意图。
图9为终端侧设备或网络侧设备的一种示意图。
图10为终端侧设备或网络侧设备的一种示意图。
具体实施方式
为了使本申请的目的、技术手段和优点更加清楚明白,以下结合附图对本申请做进一步详细说明。
本申请通过终端侧设备与网络侧设备之间所协商的认证协议类型,利用认证协议类型对应的认证方式来进行认证,从而避免终端侧设备和/或网络侧设备进行认证时相互依赖。
参见图1所示,图1为本申请实施例终端侧设备与网络侧设备进行认证的一种流程示意图。该方法包括,
步骤101,终端侧设备及网络侧设备双方设备进行认证协议类型交互,以确定双方设备所支持的认证协议类型,从而使得终端侧设备及网络侧设备之间协商得到一认证协议类型,
步骤102,双方设备根据所支持的认证协议类型对应有认证方式,进行双方设备之间的认证;
其中,
所述认证协议类型对应有认证方式;
所述双方设备之间的认证包括,
双方设备中的任一本方设备被对方设备进行认证的第一认证,以及
本方设备对对方设备进行认证的第二认证。
实施例一
在本实施例中,双方设备交互终端侧设备默认支持的第一认证协议类型、以及终端侧设备不支持第一认证协议类型的情形下由网络侧设备从认证协议类型组中选取的第二认证协议类型,其中,所述认证协议类型组为终端侧设备认证协议类型组与网络侧设备认证协议类型组的交集,所述第二认证协议类型为认证协议类型组中具有最高优先级中的认证协议类型。如果双方没有对应的认证类型,会停止交互。
参见图2a和2b所示,图2a和2b为终端侧设备与网络侧设备之间进行认证的一种流程示意图。该认证方法包括,
在终端侧设备,例如,物联网设备等,
步骤201,终端侧设备获取第一认证协议类型,记为default_auth_type,该认证协议类型可以为本设备默认支持的认证协议类型,也可以是网络侧设备默认支持的认证协议类型。
如下表所示,第一认证协议类型对应有认证方式,所述认证方式包括,公私钥对生成方式、总密钥Masterkey生成方式、共享密钥Sharekey生成、加解密方式、摘要生成方式之一或其任意组合;具体根据认证的需求而确定,上述方式可理解为某种具体算法。
Figure BDA0003346674950000061
步骤202,获取终端侧设备所支持的认证类型协议组,记为auth_type_group,该认证类型协议组包括了一种以上认证协议类型,每种认证协议类型分别对应有公私钥对生成方式、总密钥Masterkey生成方式、共享密钥Sharekey生成方式、加解密方式、摘要生成方式之一或其任意组合。具体根据认证的需求而确定,在本实施例中,为全部认证方式的组合。上述方式可理解为某种具体算法。
Figure BDA0003346674950000062
步骤203,读取终端侧设备预存的第一设备标识以及设备验证码,分别记为devid,devauthcode,
其中,第一设备标识可以为设备序列号,设备序列号用于标识设备的字符串,每个物理设备具有不同的标识,
设备验证码为存储在设备硬件中的一串字符串,非易失且不可变更。
步骤204,根据步骤201所获取的第一认证协议类型约定的公私钥对生成算法,生成终端侧设备的公私钥对,记为dev_privatekey,dev_publickey,
步骤205,根据步骤201所获取的第一认证协议类型约定的共享密钥Sharekey生成算法,使用预存的devid,devauthcode,生成终端的共享密钥,记为dev_sharekey,
步骤206,根据步骤201所获取的第一认证协议类型约定的加解密算法,使用共享密钥Sharekey对终端的公钥devic_publickey进行加密,得到加密后的devic_publickey,记为cipher(devic_publickey),
步骤207,通过TCP会话将步骤201所获取的第一认证协议类型、步骤202所获取的认证类型协议组、步骤203所获取的第一设备标识devid、devauthcode、以及步骤206所得到的cipher(devic_publickey)传输给网络侧设备。
在上述过程中,鉴于实际应用中大多数情况是网络侧设备升级而终端侧设备未升级,从而导致认证无法进行,因此,终端侧设备支持默认的第一认证协议类型的概率是较大的,这样,可先行进行用于认证的参数计算,例如,计算公私钥对、共享密钥、加密后的公钥等;此外,将第一认证协议类型、认证类型协议组随同第一设备标识、设备验证码、cipher(devic_publickey)发送给网络侧,这样,有利于减少终端侧设备向网络侧设备发送的次数,从而有利于提高认证过程中的可靠性。
作为一种变形,所述第一认证协议类型、认证类型协议组可以在进行读取终端侧设备预存的第一设备标识以及设备验证码之前就发送给网络侧,以便与网络侧进行认证协议类型的协商。
在网络侧设备,例如,平台、服务器等,
步骤208,判断是否支持终端侧设备的第一认证协议类型,
步骤209,确定支持终端侧设备的第一认证协议类型,
步骤210,根据第一认证协议类型约定的公私钥对生成算法,生成网络侧设备的公私钥对,记为plt_privatekey,plt_publickey,其中,plt_privatekey为私钥,plt_publickey为公钥,
步骤211,根据第一认证协议类型约定的共享密钥生成算法,使用预存的devid,devauthcode,生成网络侧设备的共享密钥,记为plt_sharekey,
步骤212,根据第一认证协议类型约定的加解算法,使用plt_sharekey作为密钥,对cipher(dev_publickey)进行解密,得到dev_publickey,
步骤213,根据第一认证协议类型约定的总密钥生成算法,使用网络侧设备的私钥plt_privatekey以及dev_publickey生成网络侧设备总密钥,记为plt_masterkey,
步骤214,根据第一认证协议类型约定的加解密算法,使用网络侧设备总密钥对网络侧设备的公钥plt_publickey进行加密,得到加密后的网络侧设备的公钥,记为cipher(plt_publickey),
步骤215,通过TCP会话将cipher(plt_publickey)、以及所采用的认证协议类型传输给终端侧设备。
在终端侧设备,
步骤216,接收来自网络侧设备的认证协议类型,判断网络侧设备的认证协议类型与终端侧设备的认证协议类型default_auth_type一致,
步骤217,一致时,根据default_auth_type约定的加解算法,使用终端侧设备的共享密钥dev_sharekey,对cipher(plt_publickey)进行解密,得到网络侧设备的公钥plt_publickey,
步骤218,根据default_auth_type约定的总密钥生成算法,使用终端侧设备的私钥dev_privatekey、以及网络侧设备的私钥plt_publickey,生成终端侧设备的总密钥,记为dev_masterkey,
所述总密钥是终端侧设备与网络侧设备在认证过程中生成的相对长时间使用的密钥,其生命周期由网络侧设备控制。
步骤219,根据default_auth_type约定的摘要生成算法,使用终端侧设备的总密钥dev_masterkey对devid进行摘要生成,得到第一结果,记为Digest(devid),
步骤220,通过TCP会话将第一结果Digest(devid)传输给网络侧设备。
在网络侧设备,
步骤221,根据default_auth_type约定的摘要生成算法,使用网络侧设备的总密钥plt_masterkey,对devid进行摘要生成,得到第二结果,记为Digest1(devid)
步骤222,校验第一结果Digest(devid)和第二结果Digest1(devid),
步骤223,校验通过时,生成会话密钥sessionkey以及第二设备标识deviceid,该第二设备标识由网络侧设备分配给终端侧设备,否则,认证不通过,结束本认证流程。
步骤224,根据default_auth_type约定的加解算法,使用网络侧设备的总密钥plt_masterkey,对sessionkey和deviceid进行加密,得到加密后的会话密钥cipher(sessionkey),以及加密后的第二设备标识cipher(deviceid),
步骤225,根据default_auth_type约定的摘要生成算法,使用网络侧设备的总密钥plt_masterkey,对devid进行摘要生成,得到第三结果,记为Digest2(devid),
鉴于总密钥通常在生命周期内,第三结果与第二结果相同,也可以不再进行第三结果的计算。
步骤226,通过TCP会话将cipher(deviceid)、cipher(sessionkey)、以及Digest2(devid)或Digest1(devid)发送给终端侧设备。
在终端侧设备,
步骤227,根据default_auth_type约定的摘要生成算法,使用终端侧设备的总密钥dev_masterkey,对devid进行摘要生成,得到第四结果,记为Digest3(devid),
步骤228,校验第三结果Digest2(devid)和第四结果Digest3(devid),或者,校验第二结果Digest1(devid)和第四结果Digest3(devid)
步骤229,校验通过时,根据default_auth_type约定的加解密算法,使用终端侧设备的总密钥dev_masterkey对cipher(deviceid)以及cipher(sessionkey)进行解密,得到会话密钥sessionkey以及第二设备标识deviceid,否则,认证不通过,结束认证流程。
步骤230,鉴于认证过程中可能发生会话链路的改变,通过TCP会话再次将第一结果Digest(devid)传输给网络侧设备。
在网络侧设备,
步骤231,根据default_auth_type约定的摘要生成算法,使用网络侧设备的总密钥plt_masterkey通过摘要生成算法(例如hmac-sha384算法)对devid再次进行摘要生成,得到第五结果,记为Digest4(devid),
鉴于总密钥通常在生命周期内,第五结果与第二结果相同,也可以不再进行第五结果的计算。
步骤232,校验第一结果和第五结果,或者,校验第一结果和第二结果,
步骤233,当校验通过时,将devid、deviceid、plt_masterkey、sessionkey作为一个记录进行存储;否则,认证不通过,结束本认证流程。
在终端侧设备,
步骤234,将会话密钥sessionkey作为与网络侧设备进行通信的密钥,对待传输的上下文进行加密,得到加密后的上下文,记为cipher(context),
步骤235,通过TCP会话将加密后的上下文cipher(context)传输给网络侧设备。
步骤204~215为终端侧设备对网络侧设备进行认证的第一认证,
步骤216~235为网络侧设备对终端侧设备进行认证的第二认证。
参见图3a和3b所示,图3a和3b为终端侧设备与网络侧设备协商不一致时的一种流程示意图。
在终端侧设备,
步骤301~307,与步骤301~307相同,
在网络侧设备,
步骤308,判断是否支持终端侧设备的第一认证协议类型,
步骤309,当不支持时,根据接收的认证类型协议组auth_type_group,从认证类型协议组中选择出第二认证协议类型,该第二认证协议类型为根据安全等级选取的最优认证协议类型,记为vote_auth_type,
步骤310,通过TCP会话将第二认证协议类型传输给终端侧设备。
在终端侧设备,
步骤311,在auth_type_group中查找vote_auth_type,
步骤312,将vote_auth_type作为本次认证的认证协议类型。
鉴于认证类型协议组来源于终端侧设备,第二认证协议类型必然包含在认证类型协议组中,故而,步骤311~312可不执行。
步骤313,根据步骤312所获取的认证协议类型vote_auth_type约定的公私钥对生成算法,生成终端侧设备的公私钥对,记为dev_privatekey,dev_publickey,
步骤314,根据步骤312所获取的认证协议类型vote_auth_type约定的共享密钥生成算法,使用预存的devid,devauthcode,生成终端侧设备的共享密钥,记为dev_sharekey,
步骤315,根据步骤312所获取的认证协议类型vote_auth_type约定的加解密算法,使用共享密钥对devic_public进行加密,得到加密后的devic_public,记为cipher(devic_public),
步骤316,通过TCP会话将步骤315所得到的cipher(devic_public)传输给网络侧设备。
在网络侧设备,
步骤317,根据所选择的认证协议类型vote_auth_type约定的公私钥对生成算法,生成网络侧的公私钥对,记为plt_privatekey,plt_publickey,其中,plt_privatekey为私钥,plt_publickey为公钥,
步骤318,根据该认证协议类型vote_auth_type约定的共享密钥生成算法,使用预存的devid,devauthcode,生成网络侧设备的共享密钥,记为plt_sharekey,
步骤319,根据该认证协议类型vote_auth_type约定的加解密算法,使用plt_sharekey作为密钥,对cipher(dev_publickey)进行解密,得到dev_publickey,
步骤320,根据该认证协议类型vote_auth_type约定的总密钥生成算法,使用网络侧设备的私钥plt_privatekey以及dev_publickey生成网络侧设备的总密钥,记为plt_masterkey,
步骤321,根据该认证协议类型vote_auth_type约定的加解密算法,使用网络侧设备的总密钥对网络侧设备的公钥plt_publickey进行加密,得到加密后的网络侧设备的公钥,记为cipher(plt_publickey),
步骤322,通过TCP会话将cipher(plt_publickey)传输给终端侧设备。
在终端侧设备,
步骤323,根据vote_auth_type约定的加解算法,使用终端侧设备的共享密钥dev_sharekey,对cipher(plt_publickey)进行解密,得到网络侧设备的公钥plt_publickey,
步骤324,根据vote_auth_type约定的总密钥密钥生成算法,使用终端侧设备的私钥dev_privatekey、以及网络侧设备的私钥plt_publickey,生成终端侧设备的总密钥,记为dev_masterkey,
步骤325,根据vote_auth_type约定的摘要生成算法,使用终端侧设备的总密钥dev_masterkey对devid进行摘要生成,得到第一结果,记为Digest(devid),
步骤326,通过TCP会话将第一结果Digest(devid)传输给网络侧设备。
在网络侧设备,
步骤327,根据vote_auth_type约定的摘要生成算法,使用网络侧的总密钥plt_masterkey,对devid进行摘要生成,得到第二结果,记为Digest1(devid),
步骤328,校验第一结果Digest(devid)和第二结果Digest1(devid),
步骤329,校验通过时,生成会话密钥sessionkey以及第二设备标识deviceid,将devid、deviceid、masterkey、sessionkey作为一个记录进行存储,
步骤330,根据vote_auth_type约定的加解密算法,使用网络侧设备的总密钥plt_masterkey,对sessionkey和deviceid进行加密,得到加密后的会话密钥cipher(sessionkey),以及加密后的第二设备标识cipher(deviceid),
步骤331,通过TCP会话将cipher(deviceid)、cipher(sessionkey)、以及Digest1(devid)发送给终端侧设备。
在终端侧设备,
步骤332,根据vote_auth_type约定的摘要生成算法,使用终端侧设备的总密钥dev_masterkey,对devid进行摘要生成,得到第三结果,记为Digest2(devid),
步骤333,校验第二结果Digest1(devid)和第三结果Digest2(devid),
步骤334,校验通过时,根据vote_auth_type约定的加解密算法,使用终端侧设备的总密钥dev_masterkey对cipher(deviceid)以及cipher(sessionkey)进行解密,得到会话密钥sessionkey以及第二设备标识deviceid。
步骤335,将会话密钥sessionkey作为与网络侧进行通信的密钥,对待传输的上下文进行加密,得到加密后的上下文,记为cipher(context),
步骤336,通过TCP会话将加密后的上下文cipher(context)传输给网络侧设备。
步骤304~316为终端侧设备对网络侧设备进行认证的第一认证,
步骤317~335为网络侧设备对终端侧设备进行认证的第二认证。
在本实施例中,协商的决策权在网络侧设备,从而保障了在终端侧设备所支持的认证协议类型范围内选择最优的认证协议类型。
实施例二
参见图4所示,图4为本申请实施例二终端侧设备与网络侧设备之间进行认证的一种流程示意图。该认证方法包括,
步骤401,网络侧设备向终端侧设备发送任一方设备默认支持的第一认证协议类型、以及认证协议类型组,
其中,第一认证协议类型可以是终端侧设备默认支持的,例如,终端侧设备接入网络侧设备时,网络侧可以获取到终端侧设备默认支持的认证协议类型;第一认证协议类型也可以是网络侧设备默认支持的。
步骤402,终端侧设备判断是否支持第一认证协议类型,
如果不支持,则从认证协议类型组中选取第二认证协议类型,发送至网络侧设备,所述第二认证协议类型为根据安全等级选取的终端侧设备所支持的最优认证协议类型。
如果支持,则利用第一认证协议类型对应的认证方式进行认证,并将所支持的第一认证协议类型发送网络侧设备,
步骤403,网络侧设备根据所接收的认证协议类型对应的认证方式进行认证,
若网络侧设备接收到来自终端侧设备的第二认证协议类型,则利用第二认证协议类型对应的认证方式进行认证;
否则,网络侧设备利用第一认证协议类型对应的认证方式进行认证。
具体的认证过程可以与实施例一相同。
实施例三
在本实施例中,双方设备中的任一本方设备向对方设备发送认证协议类型组,使得对方设备从认证协议类型组中选取第二认证协议类型,发送至本方设备。
参见图5所示,图5为本申请实施例三终端侧设备与网络侧设备之间进行认证的一种流程示意图。该认证方法包括,
步骤501,终端侧设备向网络侧设备发送终端侧设备所支持的认证协议类型组,
步骤502,网络侧设备从认证协议类型组中选取第二认证协议类型,并发送给终端侧设备,所述第二认证协议类型为根据安全等级选取的最优认证协议类型,
步骤503,终端侧设备、网络侧设备分别利用第二认证协议类型对应的认证方式进行认证。
具体的认证过程可以与实施例一相同。
参见图6所示,图6为本申请实施例三终端侧设备与网络侧设备之间进行认证的另一种流程示意图。该认证方法包括,
步骤601,网络侧设备向发送终端侧设备认证协议类型组,
较佳地,所述认证协议类型组为终端侧设备所支持的认证协议类型的集合,可以通过终端侧设备接入网络时获得。
步骤602,终端侧设备从认证协议类型组中选取第二认证协议类型,并发送给网络侧设备,所述第二认证协议类型为根据安全等级选取的最优认证协议类型,
步骤603,终端侧设备、网络侧设备分别利用第二认证协议类型对应的认证方式进行认证。
具体的认证过程可以与实施例一相同。
在本实施例中,双方设备中的任一本方设备向对方设备发送认证协议类型组,使得对方设备从认证协议类型组中选取第二认证协议类型,发送至本方设备。
实施例四
在本实施例中,终端侧设备、网络侧设备双方设备中的任一本方设备向对方设备发送认证协议类型组,使得对方设备从认证协议类型组中选取第二认证协议类型,发送至本方设备,
本方设备接收来自对方设备的第二认证协议类型,判断是否支持第二认证协议类型,如果不支持,则通知对方设备重新选取,例如,对方设备在认证协议类型组中逐一地选取,并返回给本方设备,直至遍历完认证协议类型组中的所有认证协议类型;或者,为了提高交互的效率,从认证协议类型组选取本方设备所支持的认证协议类型发送至对方设备,使得对方设备从所支持的认证协议类型中选取该对方设备所支持的认证协议类型,并发送至本方设备。
参见图7所示,图7为本申请实施例四终端侧设备与网络侧设备之间进行认证的一种流程示意图。该认证方法包括,
步骤701,终端侧设备向网络侧设备发送认证协议类型组,
步骤702,网络侧设备从认证协议类型组中选取第二认证协议类型,并发送给终端侧设备,所述第二认证协议类型为根据安全等级选取的最优认证协议类型,
步骤703,终端侧设备接收来自对方设备的第二认证协议类型,判断是否支持第二认证协议类型,
如果不支持,则通知网络侧设备,以使得网络侧设备重新选取,或者,从认证协议类型组选取终端侧设备所支持的认证协议类型发送至网络侧设备,
如果支持,则将第二认证协议类型发送给网络侧设备,
步骤704,终端侧设备、网络侧设备分别利用认证协议类型对应的认证方式进行认证。
具体的认证过程可以与实施例一相同。
参见图8所示,图8为本申请实施例四终端侧设备与网络侧设备之间进行认证的另一种流程示意图。该认证方法包括,
步骤801,网络侧设备向终端侧设备发送认证协议类型组,
步骤802,终端侧设备从认证协议类型组中选取第二认证协议类型,并发送给网络侧设备,所述第二认证协议类型为根据安全等级选取的终端侧设备所支持的最优认证协议类型,
步骤803,网络侧设备接收来自对方设备的第二认证协议类型,判断是否支持第二认证协议类型,
如果不支持,则通知终端侧设备,以使得终端侧设备重新选取,或者,网络侧设备从认证协议类型组选取网络侧设备所支持的认证协议类型发送至终端侧设备,
如果支持,则将第二认证协议类型发送给终端侧设备,
步骤804,终端侧设备、网络侧设备分别利用认证协议类型对应的认证方式进行认证。
具体的认证过程可以与实施例一相同。
参见图9所示,图9为终端侧设备或网络侧设备的一种示意图。该设备包括,
交互模块,用于与对方设备进行认证协议类型交互,以确定双方设备所支持的认证协议类型,其中,所述认证协议类型对应有认证方式;
认证模块,用于根据所确定的认证协议类型对应的认证方式,进行双方设备的认证。
所述交互模块包括,
第一交互模块,用于交互任一方设备默认支持的第一认证协议类型,
第二交互模块,用于交互在不支持第一认证协议类型的情形下从认证协议类型组中选取的第二认证协议类型;或者,用于交互从认证协议类型组中选取的第二认证协议类型。
认证模块包括,
第一认证模块,用于本方设备被对方设备进行第一认证;
第二认证模块,用于本方设备对对方设备进行第二认证。
参见图10所示,图10为终端侧设备或网络侧设备的一种示意图。包括存储器和处理器,所述存储器存储有计算机程序,所述处理器被配置执行实现所述终端侧设备与网络侧设备之间的认证方法的步骤。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例还提供了一种计算机可读存储介质,所述存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现所述终端侧设备与网络侧设备之间的认证方法的步骤。
对于装置/网络侧设备/存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (11)

1.一种终端侧设备与网络侧设备之间的认证方法,其特征在于,该方法包括,在终端侧设备及网络侧设备双方设备中任一本方设备侧,
本方设备与对方设备进行认证协议类型交互,以确定双方设备所支持的认证协议类型,其中,所述认证协议类型对应有认证方式;
本方设备根据所确定的认证协议类型对应的认证方式,进行双方设备之间的认证,并使得对方设备根据所确定的认证协议类型对应的认证方式,进行双方设备之间的认证。
2.如权利要求1所述的认证方法,其特征在于,所述本方设备与对方设备进行认证协议类型交互,包括,
双方设备交互任一方设备默认支持的第一认证协议类型、以及任一方设备不支持第一认证协议类型的情形下从认证协议类型组中选取的第二认证协议类型,
双方设备交互从认证协议类型组中选取的第二认证协议类型;
其中,认证协议类型组包括,至少一个以上认证协议类型,每个认证协议类型分别对应有认证方式。
3.如权利要求2所述的认证方法,其特征在于,所述第二认证协议类型为:认证协议类型组中具有最高优先级中的认证协议类型,所述认证协议类型组为终端侧设备认证协议类型组与网络侧设备认证协议类型组的交集;
所述双方设备交互任一方设备默认支持的第一认证协议类型、以及任一方设备不支持第一认证协议类型的情形下从认证协议类型组中选取的第二认证协议类型,包括,
所述本方设备向对方设备发送任一方设备默认支持的第一认证协议类型、以及认证协议类型组,使得对方设备在不支持第一认证协议类型的情形下从认证协议类型组中选取的第二认证协议类型,并将其所采用的认证协议类型发送至本方设备。
4.如权利要求2所述的认证方法,其特征在于,所述双方设备交互从认证协议类型组中选取的第二认证协议类型,包括,
所述本方设备向对方设备发送认证协议类型组,使得对方设备从认证协议类型组中选取第二认证协议类型,发送至本方设备,
所述本方设备根据所确定的认证协议类型对应的认证方式,进行双方设备之间的认证,并使得对方设备根据所确定的认证协议类型对应的认证方式,进行双方设备之间的认证,包括,
双方设备分别利用第二认证协议类型对应的认证方式进行认证。
5.如权利要求2所述的认证方法,其特征在于,所述双方设备交互从认证协议类型组中选取的第二认证协议类型,包括,
所述本方设备向对方设备发送认证协议类型组,使得对方设备从认证协议类型组中选取第二认证协议类型,发送至本方设备,
本方设备接收来自对方设备的第二认证协议类型,判断是否支持第二认证协议类型,如果不支持,则通知对方设备重新选取,或者,从认证协议类型组选取本方设备所支持的认证协议类型发送至对方设备,使得对方设备从所支持的认证协议类型中选取该对方设备所支持的认证协议类型,并发送至本方设备。
6.如权利要求1所述的认证方法,其特征在于,所述认证方式包括,公私钥对生成方式、总密钥生成方式、共享密钥生成方式、加解密方式、摘要生成方式之一或其任意组合,
所述第二认证协议类型为根据安全等级所选取的最优认证协议类型;
所述双方设备之间的认证,包括:
本方设备被对方设备进行认证的第一认证,以及
本方设备对对方设备进行认证的第二认证。
7.如权利要求6所述的认证方法,其特征在于,所述本方设备被对方设备进行认证的第一认证,包括:
在本方设备侧,
根据认证协议类型对应的公私钥对生成方式,生成本方设备的公私钥对,
根据认证协议类型对应的共享密钥生成方式,生成本方设备的共享密钥,
根据认证协议类型对应的加解密方式,使用共享密钥对公钥进行加密,得到加密后的公钥,
将本方设备的第一设备标识、设备验证码以及加密后的公钥发送给对方设备,使得对方设备:
根据认证协议类型对应的共享密钥生成方式,使用第一设备标识以及设备验证码,生成该对方设备的共享密钥,
根据认证协议类型对应的加解密方式,使用该对方设备的共享密钥对本方设备的加密后的公钥进行解密,得到本方设备的公钥,
根据认证协议类型对应的公私钥对生成方式,使用该对方设备的私钥和本方设备的公钥,生成对方设备的总密钥,
根据认证协议类型对应的加解密方式,使用该对方设备的总密钥对该对方设备的公钥进行加密,得到该对方设备的加密后的公钥。
8.如权利要求6所述的认证方法,其特征在于,所述本方设备对对方设备进行认证的第二认证,包括,
本方设备接收来自对方设备发送的该对方设备的加密后的公钥,
根据认证协议类型对应的加解密方式,使用本方设备的共享密钥,对该对方设备的加密后的公钥进行解密,得到该对方设备的公钥,
根据认证协议类型对应的公私钥对生成方式,使用本方设备的私钥以及对方设备的公钥,生成本方设备的总密钥,
根据认证协议类型对应的摘要生成方式,使用本方设备的总密钥对本方设备的第一设备标识进行摘要生成,得到第一结果,
将第一结果发送至对方设备,使得对方设备:
根据认证协议类型对应的摘要生成方式,使用该对方设备的总密钥对第一设备标识进行摘要生成,得到第二结果,
校验第一结果和第二结果,在校验通过时,生成会话密钥和第二设备标识,
根据认证协议类型对应的加解密方式,使用该对方设备的总密钥对会话密钥和第二设备标识进行加密,得到加密后的会话密钥和第二设备标识,
将第二结果、以及加密后的会话密钥和第二设备标识发送至本方设备;
本方设备接收来自对方设备的第二结果、以及加密后的会话密钥和第二设备标识,
根据认证协议类型对应的摘要生成方式,使用本方设备的总密钥,对第一设备标识进行摘要生成,得到第三结果,
校验第二结果和第三结果,在校验通过时,根据认证协议类型对应的加解密方式,使用本方设备的总密钥对加密后的会话密钥和第二设备标识进行解密。
9.一种终端侧设备,其特征在于,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器被配置执行实现如权利要求1至8任一所述终端侧设备与网络侧设备之间的认证方法的步骤。
10.一种网络侧设备,其特征在于,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器被配置执行实现如权利要求1至8任一所述终端侧设备与网络侧设备之间的认证方法的步骤。
11.一种物联网系统,其特征在于,包括如权利要求9所述的终端侧设备,以及如权利要求10所述的网络侧设备。
CN202111324852.2A 2021-11-10 2021-11-10 一种终端侧设备与网络侧设备之间的认证方法、系统 Pending CN114051244A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202111324852.2A CN114051244A (zh) 2021-11-10 2021-11-10 一种终端侧设备与网络侧设备之间的认证方法、系统
PCT/CN2022/123503 WO2023082894A1 (zh) 2021-11-10 2022-09-30 一种终端侧设备与网络侧设备之间的认证方法、系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111324852.2A CN114051244A (zh) 2021-11-10 2021-11-10 一种终端侧设备与网络侧设备之间的认证方法、系统

Publications (1)

Publication Number Publication Date
CN114051244A true CN114051244A (zh) 2022-02-15

Family

ID=80208101

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111324852.2A Pending CN114051244A (zh) 2021-11-10 2021-11-10 一种终端侧设备与网络侧设备之间的认证方法、系统

Country Status (2)

Country Link
CN (1) CN114051244A (zh)
WO (1) WO2023082894A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023082894A1 (zh) * 2021-11-10 2023-05-19 杭州萤石软件有限公司 一种终端侧设备与网络侧设备之间的认证方法、系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1753404A (zh) * 2004-09-23 2006-03-29 华为技术有限公司 通信设备选择通信协议的方法
CN1852600A (zh) * 2005-12-26 2006-10-25 华为技术有限公司 一种异构网络切换中链路建立前的消息安全传送方法
CN101188608A (zh) * 2006-11-16 2008-05-28 华为技术有限公司 协商网络认证方式的方法
US20210119991A1 (en) * 2019-10-16 2021-04-22 Nutanix, Inc. System and method for selecting authentication methods for secure transport layer communication

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100546305C (zh) * 2006-04-04 2009-09-30 华为技术有限公司 一种点到点协议强制认证方法和装置
EP2381385B1 (en) * 2010-04-26 2013-08-28 Research In Motion Limited Method and system for third party client authentication
WO2014047868A1 (zh) * 2012-09-28 2014-04-03 华为技术有限公司 协议栈类型协商方法及装置
CN108738019B (zh) * 2017-04-25 2021-02-05 华为技术有限公司 融合网络中的用户认证方法及装置
CN114051244A (zh) * 2021-11-10 2022-02-15 杭州萤石软件有限公司 一种终端侧设备与网络侧设备之间的认证方法、系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1753404A (zh) * 2004-09-23 2006-03-29 华为技术有限公司 通信设备选择通信协议的方法
CN1852600A (zh) * 2005-12-26 2006-10-25 华为技术有限公司 一种异构网络切换中链路建立前的消息安全传送方法
CN101188608A (zh) * 2006-11-16 2008-05-28 华为技术有限公司 协商网络认证方式的方法
US20210119991A1 (en) * 2019-10-16 2021-04-22 Nutanix, Inc. System and method for selecting authentication methods for secure transport layer communication

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023082894A1 (zh) * 2021-11-10 2023-05-19 杭州萤石软件有限公司 一种终端侧设备与网络侧设备之间的认证方法、系统

Also Published As

Publication number Publication date
WO2023082894A1 (zh) 2023-05-19

Similar Documents

Publication Publication Date Title
US11133934B2 (en) Systems and methods for single-step out-of-band authentication
US11501294B2 (en) Method and device for providing and obtaining graphic code information, and terminal
WO2018099285A1 (zh) 物联网设备的烧录校验方法及装置、身份认证方法及装置
US8689290B2 (en) System and method for securing a credential via user and server verification
JP4425859B2 (ja) アドレスに基づく認証システム、その装置およびプログラム
KR101265873B1 (ko) 분산된 단일 서명 서비스 방법
US9166975B2 (en) System and method for secure remote access to a service on a server computer
US20080189772A1 (en) Method for generating digital fingerprint using pseudo random number code
JPWO2005011192A6 (ja) アドレスに基づく認証システム、その装置およびプログラム
CN108881222A (zh) 基于pam架构的强身份认证系统及方法
US9137224B2 (en) System and method for secure remote access
WO2019170026A1 (zh) 基于可穿戴设备的身份认证方法及系统
DK2414983T3 (en) Secure computer system
JP2001186122A (ja) 認証システム及び認証方法
CN114374522B (zh) 一种可信设备认证方法、装置、计算机设备及存储介质
CN112291218B (zh) 一种基于二维码双重融合加密算法的设备身份认证方法
CN114051244A (zh) 一种终端侧设备与网络侧设备之间的认证方法、系统
JPH08335208A (ja) 代理認証方法及びシステム
US11323431B2 (en) Secure sign-on using personal authentication tag
KR102032210B1 (ko) 개인 식별번호의 입력을 통한 간편 인증이 가능한 사용자 인증 처리 장치 및 그 동작 방법
US7010810B2 (en) Method and apparatus for providing a software agent at a destination host
CN114238915A (zh) 数字证书添加方法、装置、计算机设备和存储介质
KR102171377B1 (ko) 로그인 제어 방법
KR20170111809A (ko) 대칭키 기반의 보안 토큰을 이용한 양방향 인증 방법
JP2004040555A (ja) 認証処理システム、認証処理装置、プログラムおよび認証処理方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination